Une faille a été découverte dans l’application Express Plus Medicare qui permet aux gens de falsifier leurs certificats de vaccination Covid en moins de 10 minutes.
Une fois que les Australiens reçoivent les deux doses du vaccin Covid-19, ils peuvent montrer un certificat sur l’application qui comprend leur nom, leur date de naissance et le vaccin qu’ils ont reçu.
Le Premier ministre, Scott Morrison, l’a décrit le mois dernier comme “un certificat de vaccination numérique crédible, efficace et facilement utilisable qui peut être fourni aux Australiens”.
Le certificat contient une animation numérique, conçue pour empêcher les personnes de présenter de fausses versions, mais l’ingénieur logiciel de Sydney, Richard Nelson, a découvert qu’il était capable d’exploiter une faille de sécurité dans l’application et de lui fournir de fausses informations sur les vaccins qui semblaient identiques à la réalité. chose.
Nelson a tenté d’informer Services Australia de la faille, mais a eu du mal à contacter directement le département. Il n’a pas reçu de réponse. Il l’a signalé à l’Australian Signals Directorate, l’organisme gouvernemental qui supervise le renseignement et les risques de cybersécurité. Il a reçu un accusé de réception de son contact, mais aucune réponse.
Frustré, il a tweeté cette semaine une autre démonstration de la faille, celle-ci montrant qu’il était capable de tromper l’application pour qu’elle présente un “certificat” pour les vaccinations à l’aide d’hydroxychloroquine et d’ivermectine – qui ne sont pas des vaccins. Le faux a été fait comme une blague et a utilisé le député fédéral Craig Kelly comme sujet. Kelly n’a participé d’aucune façon à la production du certificat.
Nelson a déclaré que le principal problème avec le certificat était qu’il n’y avait aucun moyen pour les restaurants ou autres lieux de vérifier qu’il était légitime, s’il devenait une condition d’entrée.
« Si nous allons permettre aux personnes vaccinées de faire des choses que nous ne pouvons pas faire actuellement, comme entrer dans un restaurant, il doit y avoir un moyen pour le propriétaire du restaurant de vérifier que ce qu’on leur montre est digne de confiance, sans envahir la vie privée des individus. ,” il a dit.
Le porte-parole de Services Australia, Hank Jongen, n’a pas indiqué quand l’application serait réparée. Il a déclaré que l’agence était “en constante évolution des preuves des certificats de vaccination, y compris le renforcement des mesures de sécurité”.
« Nous avons mis en place une cybersécurité contemporaine pour protéger les informations personnelles des personnes. Cela comprend des mécanismes de surveillance et de détection des fraudes robustes qui protègent les détails de Medicare des personnes, y compris les certificats numériques Covid-19.
« Nous travaillons avec le centre australien de cybersécurité, qui fournit des conseils en matière de cybersécurité aux entités gouvernementales pour soutenir les initiatives de certificat de vaccin. »
Jongen a déclaré que la version actuelle du certificat numérique comportait « plusieurs mesures anti-fraude », et que la faille de sécurité ne signifiait pas que les systèmes Medicare ou les données personnelles étaient compromis.
La Nouvelle-Galles du Sud cherche déjà à inclure le certificat dans son application Service NSW, afin que les gens puissent présenter le certificat lorsqu’ils s’enregistrent avec un code QR.
Le ministre du numérique et du service client de NSW, Victor Dominello, a tweeté vendredi qu’il dévoilerait lundi un prototype de la mise à jour proposée.
Je travaille avec le ministre Stuart Robert afin que nous puissions offrir aux gens la possibilité d’intégrer le certificat de vaccination sur leur application ServiceNSW.
Lundi – je vous montrerai à quoi pourrait ressembler le prototype ????????
(3/3)– Victor Dominello député (@VictorDominello) 2 septembre 2021
Nelson a déclaré que l’Australie devrait chercher à adopter un système similaire à celui utilisé dans l’Union européenne, où les gens ont un code QR sur leur téléphone ou sous forme papier, que les restaurants et autres lieux peuvent scanner pour s’assurer que la personne est vaccinée.
Nelson était l’un des nombreux membres de la communauté technologique à signaler des failles importantes dans l’application Covidsafe de 7 millions de dollars du gouvernement fédéral. Cette semaine, la Digital Transformation Agency a révélé qu’elle confierait la responsabilité totale de l’application au ministère de la Santé, car de nouveaux documents obtenus par le Canberra Times ont révélé que les traceurs de contacts trouvaient l’application de recherche de contacts difficile à utiliser.
Le rapport précédemment rédigé au gouvernement par Abt Associates a révélé que malgré 7 millions de personnes téléchargeant l’application à l’échelle nationale, dont environ 2 millions à Victoria, seulement 15% des personnes qui ont contracté Covid-19 dans l’État au cours de la deuxième vague de l’année dernière avaient l’application, et non de nouveaux contacts étroits ont été trouvés.
Les traceurs de contacts ont déclaré à Abt Associates que les données de l’application contenaient trop de faux positifs et qu’il était difficile d’obtenir des informations pour les intégrer aux méthodes de recherche de contacts existantes.
Depuis son lancement en avril 2020, l’application n’a identifié directement que 17 contacts étroits en Nouvelle-Galles du Sud non trouvés grâce à la recherche manuelle des contacts.
